ワンタイムパスワードとして選択する絵文字を2種類から4種類に増やしたところサーバーに負荷がかかってログインしづらくなった。6月9日中に復旧見込みとのこと。そんなに負荷が変わるものですかね
攻撃者がワンタイムパスワードを総当たり攻撃したのでは(そんなことが出来るかはともかくとして)。
クソワロタ。さすがわーくにのAmazonやで!
アプリの仕様(起動時に自動ログイン/非アクティブ化で即ログアウトに出来る)との食い合わせが悪い感
乱数生成は実装によってはマルチスレッドで性能が悪化したりするけど原因に興味ありますね
事前検証も事後テストも十分にせず、思いつきを見切り発車して大爆発。を短期間に複数回繰り返す楽天。さすがすぎる。カヤックから面白法人の名前譲ってもらったら?
バカじゃねーの
かなりかわいい方式なのでこのままかわいいを突き詰めていってほしい/頻繁に形式を変えたら偽サイト側の対応が追いつかずにsecurityが向上するだろうね
えぇ……
多要素認証を停止しても「安全性に大きな影響はない」と言い切れるならなんでそもそも導入したの?2文字を4文字に増やそうとしたの?
楽天証券に口座は持ってないけど、なんだかこういうの見ていると、楽天系のサービス(もれなく金の流れがある)全部解約した方がいいんじゃないかなあと思い始めている。
iSPEEDは現時点でも絵文字2種みたい
指数関数的に解読の難易度が上がるなら指数関数的に負荷も高まるわよね。その分処理能力を高めなければならなかったわけだけど…大丈夫か?この会社
何故そんなに負荷が変わるのか謎だけど、それよりも何故ログイン如きで過負荷になる独自仕様にこだわるのかが一番の謎。知見積み上げたものの方が遥かに安全なのに。アホが考えた独自のセキュリティとか怖すぎる。
謎仕様
そもそもメールが来ない。迷惑フォルダにも入ってない。
これ毎回クソ面倒くさいのでなんとかしてくれめんす
IT企業っていうの金輪際やめてくれ、真面目に。
アレまじで最悪な体験だった
そんなことある?そもそも自動でスケールアウトしないんか
普通にTOTP入れればいいのに…
10種の絵から2個を順番通りに押すという10頭立て馬単みたいな単純で組み合わせ数の少ない謎システムだったんだけど、文句が出たらなんとそのまま20頭立て4連単にしてきたんだよなぁ。普通にやってくれ頼むから。
デイトレやってる配信者がこれのせいで目をつけてた取引逃しててかわいそうだった。楽天証券とかレガシーの上に責任が乗っかってるからまともな改修しづらいのだろうというのは予想に難しくない
アプリは生体認証にしとけ。そっちのがよっぽど安全だろ。
面倒くさいよね
面倒だってクレームがわんさか届いたんでしょ。他社のより遥に面倒な仕組みだ。大和はワンパスのメールが半日遅れで届くダメダメだし(一部プロバイダとの相性が悪いという噂も)
独自の認証作ったのが裏目に出たのかね。そんなに重い処理なのかな。
ustam 楽天の擁護はしないが、解読のコストが指数関数的だからといって生成コストもおなじ比率で上がるわけないでしょ。実用的な公開鍵暗号が存在しなくなる。RSAやSSLのしくみとか勉強したほうがいい
虚構新聞ではなかった
ズコー
絵文字による多要素認証を再開するということは、リスクベースでは不十分という判断なのだろうか。めちゃくちゃ使いにくいのだけど。
このめんどい仕様のおかげで最近NISA口座あんま見なくなった。見ずに放っておくべきというNISAにはぴったりかも…
関係者は、楽天的だっね
楽天が脆弱すぎる。Azureかよ笑
メモリリークやリソースの過剰消費でもあるのかね。
あのよくわからないマーク打ち込むよりも普通に二段階認証アプリとか使わせてくれないかな。
絵文字認証とか言う謎仕様やめろ。普通のOTPとかにしろよ。まあ、ログインが面倒くさくなって証券口座を見なくなったというメリットはあるけども。
老眼の母は絵文字の違いを視認しにくくて、かつズーム(拡大)ができないので、はっきり言って糞だと思ってた。お願いです。廃止してください。
絵文字認証、ものすごいやりにくいから、やめて欲しい。普通に数字にしてよー。
楽天市場メインだったけど、ログイン面倒だから積み立て以外は他の口座に変えたい。
数字認証なくなってた
事前に配布している物理チートシートにランダム絵文字があるやつかと思ったら、普通にメールで絵文字(画像)送ってるのか。なんじゃそりゃ
楽天証券に興味はあったけど、SBI証券のままで良さそうだ。
楽天証券のは知らんが絵文字は人間に優しくないとは思う。/yahooみたく登録してある電話番号に数字をSMSで送るのが考えることが少なさそうだが、ブラウザで完結にこだわった人が多いのだろうか。
素直にAuthenticatorじゃダメなのかな?あの絵文字メールにどえらいセキュリティ効果があるの?
普通にスマホのauthenticator使わしてくれ。老人が使えないから導入見送ってるんだろうけど老人向けには絵文字認証残しといていいから
楽天グループは利益を上げてもみんなモバイルに持って行かれちゃうからまともな設備投資ができていないのではと疑ってしまう。
多要素認証、3回間違ったら1時間ロックでいいやん
さすが楽天
馬鹿じゃん
“「仕様変更した件も含め、サーバーに負荷がかかったためだ」(広報)とする。” オンボロだなあ。
今見たら2種類の絵文字で再開してた
SBI証券は電話番号認証を強制適用したせいで、ログイン出来ないユーザを大量に生み出してX上では結構酷い騒ぎになってる。最近の証券会社、運用がクソ過ぎる
改修や運用が難しいのは理解するが、ならなぜこんな思い付きそのままなオモシロ認証作ってしまうのか。もっと正攻法でやってほしい
普通に4桁番号でやってよ…って思う
この時代にサーバー過負荷なんて嘘でしょ。
2つ並べる認証だと90通り。3回トライできるので3.3%の確率で突破できる。こんなガバガバな多要素認証だと使い物にならない。金融庁はネット証券の業務要件に安全な多要素認証を必須化するべき。
楽天証券に口座持ってるだけでリスクしかない
二段階認証の方式は複数用意してくれると助かる
authenticatorはアプリを開いて戻るだけで自動で認証してくれたりする(認証の数字を自分で入れなくてもいい)から、そっちのほうが数字とか絵文字とかいちいち覚えなくてもいいし、みんな楽になると思うんだけど
どうしても謎認証やりたいならやってもいいけど、Authenticator 使う選択肢はくれ
絵文字の計算量すげーw
スマホでログインするためメールに届いた絵柄を確認しようとメールアプリに切り替えたら認証がリセットするようで結局パソコンからメールを確認→スマホでログインするハメに、バカなの?って思った
なぜに Passkey にしないのか。老人には難しいからか。気持ちはわからんでもないが、すべての web service は passkey に移行すべき。
本番環境でやらかしちゃった
今日は先週までの絵文字10個から選ぶのに戻ってるな。メールが楽天証券の認証メールと取引画面にログインがありましたメールで埋まっていくの見ると、大量のメルマガ送ることを社是とする楽天系列だなって感じる。
ここしばらく見れなかった。今日ようやく見れたが絵文字面倒なのでやめて欲しい。数字のがいい。
なんで証券会社って頑なにTOTP(Googleとかが使ってるやつ)の導入を拒むんだろうね/絵文字でも中継型フィッシングはできるし経路的にTOTPより脆弱
各社なんかよーわからん独自の認証使わさせられるけど、スタンダードなやつ使わせろよ
authenticatorにしてほしい。 あれって今はGoogleとMSのが共通だから予備としてどっちにも入れられるし。 独自のパスキーやめて。複数の端末だと使いにくい。
スマホでログインできない…の修正かと思ったら、入力する文字数を増やしていた。なんでだ?
数字のTOTPはリアルタイム・フィッシングには脆弱なので絵文字やってるのは理解するけどさ、正攻法はパスキー。独自仕様でモタモタしてないでパスキー対応はよしてほしい。
証券会社って基本的にクソケチなイメージあるからセキュリティコストに関して安物買いの銭失いをしてるんだろうなと言う感想
これを機にパスキーやTOTPに切り替えて欲しい。独自方式はやめてくれ。利用者側が慣れた方がメリットが大きい。
多分どこかが機能売り込んだんじゃと想像。
毎度お馴染み劣化車輪の再発明
こういうわけのわからん独自実装するからノウハウも知見もissueも参照出来ずにトラブルになるのよ。普通に6238使っとけよ〜
あれほんとめんどくさかった。ログインできなくてスリッピングに間に合わず追証かかる人も出てたんじゃないかなぁ
証券会社ってキラキラしてないから転職の応募も少なくて技術力低いままなんだろうな。地味過ぎてもキラキラ過ぎてもダメ
ここはエンジニアの質が悪いのか?それともビジ職が強すぎて技術的な正論が全く通らないのか?その両方か?
楽天って結構優秀なエンジニアがいる印象だったが、証券はそうでもないのかな。ググったら去年からみずほのシステム使ってるみたいな話もあるからこれも外注して実装してもらってるのかも?
IDとパスワードを入力した後に、登録してあるメアドに動物とか数字が書いてあるメールがおくられるの?それを人力で入力させる意味は?メールのリンククリックさせればよくね?
うーむ
楽天証券が絵文字使う多要素認証を停止、サーバー過負荷でログインしづらく
ワンタイムパスワードとして選択する絵文字を2種類から4種類に増やしたところサーバーに負荷がかかってログインしづらくなった。6月9日中に復旧見込みとのこと。そんなに負荷が変わるものですかね
攻撃者がワンタイムパスワードを総当たり攻撃したのでは(そんなことが出来るかはともかくとして)。
クソワロタ。さすがわーくにのAmazonやで!
アプリの仕様(起動時に自動ログイン/非アクティブ化で即ログアウトに出来る)との食い合わせが悪い感
乱数生成は実装によってはマルチスレッドで性能が悪化したりするけど原因に興味ありますね
事前検証も事後テストも十分にせず、思いつきを見切り発車して大爆発。を短期間に複数回繰り返す楽天。さすがすぎる。カヤックから面白法人の名前譲ってもらったら?
バカじゃねーの
かなりかわいい方式なのでこのままかわいいを突き詰めていってほしい/頻繁に形式を変えたら偽サイト側の対応が追いつかずにsecurityが向上するだろうね
えぇ……
多要素認証を停止しても「安全性に大きな影響はない」と言い切れるならなんでそもそも導入したの?2文字を4文字に増やそうとしたの?
楽天証券に口座は持ってないけど、なんだかこういうの見ていると、楽天系のサービス(もれなく金の流れがある)全部解約した方がいいんじゃないかなあと思い始めている。
iSPEEDは現時点でも絵文字2種みたい
指数関数的に解読の難易度が上がるなら指数関数的に負荷も高まるわよね。その分処理能力を高めなければならなかったわけだけど…大丈夫か?この会社
何故そんなに負荷が変わるのか謎だけど、それよりも何故ログイン如きで過負荷になる独自仕様にこだわるのかが一番の謎。知見積み上げたものの方が遥かに安全なのに。アホが考えた独自のセキュリティとか怖すぎる。
謎仕様
そもそもメールが来ない。迷惑フォルダにも入ってない。
これ毎回クソ面倒くさいのでなんとかしてくれめんす
IT企業っていうの金輪際やめてくれ、真面目に。
アレまじで最悪な体験だった
そんなことある?そもそも自動でスケールアウトしないんか
普通にTOTP入れればいいのに…
10種の絵から2個を順番通りに押すという10頭立て馬単みたいな単純で組み合わせ数の少ない謎システムだったんだけど、文句が出たらなんとそのまま20頭立て4連単にしてきたんだよなぁ。普通にやってくれ頼むから。
デイトレやってる配信者がこれのせいで目をつけてた取引逃しててかわいそうだった。楽天証券とかレガシーの上に責任が乗っかってるからまともな改修しづらいのだろうというのは予想に難しくない
アプリは生体認証にしとけ。そっちのがよっぽど安全だろ。
面倒くさいよね
面倒だってクレームがわんさか届いたんでしょ。他社のより遥に面倒な仕組みだ。大和はワンパスのメールが半日遅れで届くダメダメだし(一部プロバイダとの相性が悪いという噂も)
独自の認証作ったのが裏目に出たのかね。そんなに重い処理なのかな。
ustam 楽天の擁護はしないが、解読のコストが指数関数的だからといって生成コストもおなじ比率で上がるわけないでしょ。実用的な公開鍵暗号が存在しなくなる。RSAやSSLのしくみとか勉強したほうがいい
虚構新聞ではなかった
ズコー
絵文字による多要素認証を再開するということは、リスクベースでは不十分という判断なのだろうか。めちゃくちゃ使いにくいのだけど。
このめんどい仕様のおかげで最近NISA口座あんま見なくなった。見ずに放っておくべきというNISAにはぴったりかも…
関係者は、楽天的だっね
楽天が脆弱すぎる。Azureかよ笑
メモリリークやリソースの過剰消費でもあるのかね。
あのよくわからないマーク打ち込むよりも普通に二段階認証アプリとか使わせてくれないかな。
絵文字認証とか言う謎仕様やめろ。普通のOTPとかにしろよ。まあ、ログインが面倒くさくなって証券口座を見なくなったというメリットはあるけども。
老眼の母は絵文字の違いを視認しにくくて、かつズーム(拡大)ができないので、はっきり言って糞だと思ってた。お願いです。廃止してください。
絵文字認証、ものすごいやりにくいから、やめて欲しい。普通に数字にしてよー。
楽天市場メインだったけど、ログイン面倒だから積み立て以外は他の口座に変えたい。
数字認証なくなってた
事前に配布している物理チートシートにランダム絵文字があるやつかと思ったら、普通にメールで絵文字(画像)送ってるのか。なんじゃそりゃ
楽天証券に興味はあったけど、SBI証券のままで良さそうだ。
楽天証券のは知らんが絵文字は人間に優しくないとは思う。/yahooみたく登録してある電話番号に数字をSMSで送るのが考えることが少なさそうだが、ブラウザで完結にこだわった人が多いのだろうか。
素直にAuthenticatorじゃダメなのかな?あの絵文字メールにどえらいセキュリティ効果があるの?
普通にスマホのauthenticator使わしてくれ。老人が使えないから導入見送ってるんだろうけど老人向けには絵文字認証残しといていいから
楽天グループは利益を上げてもみんなモバイルに持って行かれちゃうからまともな設備投資ができていないのではと疑ってしまう。
多要素認証、3回間違ったら1時間ロックでいいやん
さすが楽天
馬鹿じゃん
“「仕様変更した件も含め、サーバーに負荷がかかったためだ」(広報)とする。” オンボロだなあ。
今見たら2種類の絵文字で再開してた
SBI証券は電話番号認証を強制適用したせいで、ログイン出来ないユーザを大量に生み出してX上では結構酷い騒ぎになってる。最近の証券会社、運用がクソ過ぎる
改修や運用が難しいのは理解するが、ならなぜこんな思い付きそのままなオモシロ認証作ってしまうのか。もっと正攻法でやってほしい
普通に4桁番号でやってよ…って思う
この時代にサーバー過負荷なんて嘘でしょ。
2つ並べる認証だと90通り。3回トライできるので3.3%の確率で突破できる。こんなガバガバな多要素認証だと使い物にならない。金融庁はネット証券の業務要件に安全な多要素認証を必須化するべき。
楽天証券に口座持ってるだけでリスクしかない
二段階認証の方式は複数用意してくれると助かる
authenticatorはアプリを開いて戻るだけで自動で認証してくれたりする(認証の数字を自分で入れなくてもいい)から、そっちのほうが数字とか絵文字とかいちいち覚えなくてもいいし、みんな楽になると思うんだけど
どうしても謎認証やりたいならやってもいいけど、Authenticator 使う選択肢はくれ
絵文字の計算量すげーw
スマホでログインするためメールに届いた絵柄を確認しようとメールアプリに切り替えたら認証がリセットするようで結局パソコンからメールを確認→スマホでログインするハメに、バカなの?って思った
なぜに Passkey にしないのか。老人には難しいからか。気持ちはわからんでもないが、すべての web service は passkey に移行すべき。
本番環境でやらかしちゃった
今日は先週までの絵文字10個から選ぶのに戻ってるな。メールが楽天証券の認証メールと取引画面にログインがありましたメールで埋まっていくの見ると、大量のメルマガ送ることを社是とする楽天系列だなって感じる。
ここしばらく見れなかった。今日ようやく見れたが絵文字面倒なのでやめて欲しい。数字のがいい。
なんで証券会社って頑なにTOTP(Googleとかが使ってるやつ)の導入を拒むんだろうね/絵文字でも中継型フィッシングはできるし経路的にTOTPより脆弱
各社なんかよーわからん独自の認証使わさせられるけど、スタンダードなやつ使わせろよ
authenticatorにしてほしい。 あれって今はGoogleとMSのが共通だから予備としてどっちにも入れられるし。 独自のパスキーやめて。複数の端末だと使いにくい。
スマホでログインできない…の修正かと思ったら、入力する文字数を増やしていた。なんでだ?
数字のTOTPはリアルタイム・フィッシングには脆弱なので絵文字やってるのは理解するけどさ、正攻法はパスキー。独自仕様でモタモタしてないでパスキー対応はよしてほしい。
証券会社って基本的にクソケチなイメージあるからセキュリティコストに関して安物買いの銭失いをしてるんだろうなと言う感想
これを機にパスキーやTOTPに切り替えて欲しい。独自方式はやめてくれ。利用者側が慣れた方がメリットが大きい。
多分どこかが機能売り込んだんじゃと想像。
毎度お馴染み劣化車輪の再発明
こういうわけのわからん独自実装するからノウハウも知見もissueも参照出来ずにトラブルになるのよ。普通に6238使っとけよ〜
あれほんとめんどくさかった。ログインできなくてスリッピングに間に合わず追証かかる人も出てたんじゃないかなぁ
証券会社ってキラキラしてないから転職の応募も少なくて技術力低いままなんだろうな。地味過ぎてもキラキラ過ぎてもダメ
ここはエンジニアの質が悪いのか?それともビジ職が強すぎて技術的な正論が全く通らないのか?その両方か?
楽天って結構優秀なエンジニアがいる印象だったが、証券はそうでもないのかな。ググったら去年からみずほのシステム使ってるみたいな話もあるからこれも外注して実装してもらってるのかも?
IDとパスワードを入力した後に、登録してあるメアドに動物とか数字が書いてあるメールがおくられるの?それを人力で入力させる意味は?メールのリンククリックさせればよくね?
うーむ